フィッシング (詐欺)

(架空の)銀行から送られた銀行口座の暗号を取得するための偽サイトへ誘導するための電子メールの例

フィッシング: phishing、フィッシング詐欺)とは、インターネットのユーザから経済的価値がある情報(住所等の個人情報、パスワードクレジットカード情報など)を奪うために行われる詐欺行為である。典型としては、一般的に信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することによって行われる。

インターネット上で様々なサービスが提供されるにつれ、年々増加と高度化の傾向が顕著である。

語源

語源については諸説ある。"fishing"(釣り)のハッカー的なスラング(Leet的言い換えと呼ばれる意図的な同音別表記)であるが、fがphに変化しているのは"以前フリーキング"(音声によって電話網を意図的に誤作動させる不正行為)からの類推であると考えられている。このほか、"password harvesting fishing" の略とする説もある。日本の総務省は、「魚釣り(fishing)と洗練(sophisticated)から作られた造語」と「知恵蔵」からの知見を説明している[1]

経緯と現状

フィッシングは、主にアメリカ国内を中心に被害が急増し、例として10万ドルをフィッシングサイトにより振り込んでしまった被害者がいる。イギリスのメッセージラボ社の調査によれば、2003年9月には月間約280件の発見であったのが、2004年3月には月間約22万件にまで増えているといい、迷惑メールの新たな形態としても目立つようになってきている。日本でも2004年12月に国内初のフィッシングの被害が確認されたと警察庁が明らかにした[2]

日本での例として、2005年11月に千葉銀行を騙り各企業へCD-ROMを郵送し、そのCD-ROMをパソコンに入れるとフィッシングサイトに勝手に繋がり金を騙し取られるという事件が発生した。また2012年10月には国内各大手銀行のネットバンキングサービスを開くと、常駐したマルウェアが偽のログイン画面をポップアップして暗証番号などを入力させる手口で、不正に預金を引き出される被害が発生した [3]

近年ではYahoo!等のポータルサイトにおいて、インターネットオークション会員やウォレット等の様々なサービスが、ひとつのIDとパスワードに集約されて提供されている事情もあり、日本国内でもこれらのアカウント乗っ取りを目的としたフィッシングと見られる無差別送信のメールや、偽のサイトが報告されている。この場合、アカウントが乗っ取られれば、自分の名前で嘘のオークション出品物が出されたり、正当な出品者から出品物を騙し取るのに利用されたり、二次的にオークション詐欺の片棒を担がされる事態に陥るおそれがある。

また、最近Chromeでビジターアンケートというサイトも多発中である。

手口の概要

この行為は、悪意の第三者が会員制ウェブサイトや有名企業を装い、「ユーザーアカウントの有効期限が近づいています」や「新規サービスへの移行のため、登録内容の再入力をお願いします,お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください」などと、本物のウェブサイトを装った偽のウェブサイトへのURLリンクを貼ったメールを送りつけ、クレジットカードの会員番号といった個人情報や、銀行預金口座を含む各種サービスのIDやパスワードを獲得することを目的とする。また、DNS書き換えなどにより、正しいURLを入力しているのに偽のウェブサイトに誘導されてしまうファーミングという類似手法もある。また宅配便の不在通知を装った偽のSMSを送りつけ、不正なアプリをダウンロードさせる手法もある。その結果として架空請求詐欺預金の引き下ろし・成り済ましなどに利用され、多重に被害者となってしまう、または間接的に加害者になってしまうケースも目立ってきている。

種類

詐欺行為が行われる形態に応じて、比喩的な用語が用いられる。

フィッシングのうち、特定の個人、団体を標的としたものをスピアフィッシング (spear phishing: 魚突き) と呼ぶ [4]。 それらのうちビジネスにおける幹部を標的とするものがホエーリング (whaling: 捕鯨) と呼ばれることがある [5]

以前に送信された正規のEメールを用いて行われるものが、クローンフィッシング (clone phishing) と呼ばれることがある [6]

リンクの細工

フィッシングにおいては電子メール中に偽のWebページを指し示すリンクがURLで記述されるが、本物のWebページに良く似た綴りのURLや、本物のドメインと同じ記述をサブドメインに含めたURLがほとんどである。

本物のWebサイトのオープンなリダイレクトを悪用して細工することもありうる [7]

Webサイトの模造

本物のWebページのテキストや画像のみならずアドレスバーも模造されてしまう。その際にはJavaScriptFlash、あるいは画像が用いられる。

攻撃者により、ユーザが信頼している本物のWebサイトにある脆弱性を攻略される懸念がある。 クロスサイトスクリプティングと呼ばれる攻撃によって、その本物のWebサイトと模造サイトが連携して動作するようになり、あたかも本物のように機能するようしてしまう [8]

このような攻撃をするツールとして、BeEFが存在する[9]

攻撃ツール

許可なく他人をハッキングする行為は不正アクセス禁止法により規制されており、攻撃者には刑事罰が科される[10]

  • BeEF - 偽のWebサイトを作成し、攻撃する[9]
  • Spoofbox - SMSやメール、iMessageを送信することができるサイト。課金が必要[9]
  • Wi-Fi Phisher - Wi-Fiで偽のアクセスポイントに接続させて、パスワードを盗む[9]Evil Twin攻撃)。
  • Metasploit - 悪意のあるリンクやファイルをメールに添付して送信するモジュールが存在する[9]

対策

社会的対策

2005年にフィッシング対策協議会が設立された。

警察にサイバー犯罪相談窓口が設けられているほか、IPA 情報セキュリティ安心相談窓口などがある。

技術的対策

この詐欺行為の被害を防止する上で勧められる対策としては、以下の方法が挙げられる。

個人情報を入力する前に、本物であることの確認
クレジットカード番号や暗証番号、パスワード、その他個人情報を入力するよう促されたら、自分が今アクセスしているサイトが偽サイトではないか、本物であるかを、ドメイン名を今一度確認すること。
URLが本物であることの確認
メールなどで提示されたURLでは無く、ブックマーク(お気に入り)にあらかじめ登録した正しいURLを使いログインするのが望ましい。なお、他人から提示されたURLはウェブブラウザセキュリティホールなどにより、ドメイン名などに表示されるURLが偽装されている場合があるので、アドレス欄だけで確認するのでは不十分である。表示されているウェブページのプロパティを確認することがより有効である。また、ウェブブラウザのセキュリティホールを改善するために利用しているウェブブラウザを最新版にする必要もある(ただし、一部にはプロパティ表示の場合でも偽装の可能性があるセキュリティホールもある)。
なお最近では、正式なサイトも偽のサイトも、サブドメインとドメイン名が長く続いているために非常に紛らわしい物もあるため、ぱっと見ただけでは即座に判断が付かないケースも発生している。これに対する予防策は、正規のサイトのトップページからリンクを辿る方法が有効である。
利用しているWebブラウザウイルス対策ソフトに対策機能がある場合はそれを有効にすること
大部分のWebブラウザにはフィッシング対策機能が実装されている[11]
Internet Explorer 7.0以降[12]
Google Chrome[13]
Mozilla Firefox 2.0以降[14]
Opera 9.10以降[15]
Safari 3.2以降[16]
利用しようとしているサービスのセキュリティの仕組みを理解すること
これから利用しようとしているサービスのセキュリティの仕組みを理解すること。インターネットは基本的に性善説に基づいて設計されている仕組みである。ウェブについては TLS などのセキュリティを確保する仕組みが一般的になっているが、これらの技術は後から拡張した技術であり、以前からあるセキュリティを考慮しない仕組みと組み合わせると、いとも簡単にセキュリティが保障できなくなる。いずれかの箇所でセキュリティが確認できない箇所があれば、そこには詐欺を働く余地があることになり、擬装されている可能性がある。そのことを理解した上で利用するべきである。以下に挙げられている確認方法は、そのうちのありがちな手口の一部に過ぎない。また最近では SSL のセキュリティを取得した新手のフィッシングサイトも出現しており、見抜くのが難しくなっている。
メールヘッダーにて送信者情報の確認
なおメールのヘッダーにおける送信者情報を偽装するのは、技術的には比較的容易であり、これだけを頼りにするのは危険である(Path: ヘッダのIPアドレスなど、偽装しにくい物もある)。
メールに書かれているリンクを安易にクリックしない[11]
リンクによってはクリックした時点でメールアドレスが特定されてしまうことがある。必要な場合は、ブラウザのアドレス欄やブックマークを利用して自ら該当するサイトにアクセスする。その上で、該当サイト上にメールと同じ内容の告知が無いかを見て判断する。
また、サイトによっては、「そのようなメールを配信することはない」と明言していたり、対策方法を公開している所もあるので、サイトの姿勢、セキュリティ対策などに着目することも予防策の一つとなる。
サイトの挙動を確認する
フィッシングサイトでは、IDやパスワード等の収集を目的にしているため、わざと間違った情報を入力してもログイン出来てしまう場合が多い。必ず一度目に間違った入力をするように習慣付けているとフィッシングサイトを見破れる可能性が高まる。
なお、不幸にもこのフィッシングが疑われる物に対して、IDやパスワード等を教えてしまった場合には、電話やメール(早いほど良いので、電話の方が望ましい)でサービス提供元に相談し、サービス停止およびパスワード変更といった対策を取るべきである。信販会社や銀行が情報確認する場合は書面で行われ、ウェブで確認することはない。
ウェブブラウザに拡張機能をインストールする
Microsoft EdgeやGoogle Chromeなどに、警告をする拡張機能をインストールする。
多重認証を利用する
アカウントやパスワードを入力してしまっても、ワンタイムパスワードを使う設定にしておくと、攻撃者がログインすることが困難になる[11]。ただし、セッションハイジャックなどで突破される可能性はある[17]

技術面から見た将来的な危険性

近年では、脆弱性が放置されたままのDNSサーバに干渉し、本来のホスト名に対して偽のIPアドレスを返すように動作を変更することにより、本来のサイトに対して有効なリンクを辿っている(すなわち、ブラウザのアドレスバーには正しいアドレスが表示されている)にもかかわらず、攻撃者の設置したサイトに誘導されるファーミングが指摘されている。同じ原理の攻撃として、近年急速に普及した無線LANホットスポットに紛れ、偽のDNSサーバに接続するよう設定された罠のアクセスポイントを設置する手口(Evil Twin攻撃)も成立しうる。

また、技術的可能性としてはルータークラックしてインターネット上でルーティングされるIPパケットを恣意的に制御されたり、それがフィッシングへの応用されたりする可能性もある。

さらに、マルウェアの中には、パソコン内の通信制御(ルーティングテーブル、ネームリゾルバAPI等、あるいは単なるhostsファイル)を乗っ取ったり書き換えたりし、リンク先とは違うサイトを開かせるトロイの木馬も発見されている。実際に特定の銀行サイトに対する操作のみに反応して、フィッシングサイトへと誘導する物も確認されている。またhostsファイルを書き換えて、偽のDNSサーバを参照させ、偽のサイトへ誘導しようと試みるワームの存在も確認されているため、コンピュータウイルス対策を含めて、これらフィッシングへの警戒を行う必要がある。

脚注

出典

  1. ^ フィッシング詐欺に注意”. 国民のための情報セキュリティサイト. 総務省. 2022年4月1日閲覧。
  2. ^ “フィッシング詐欺を全国初摘発”. ITmedia エンタープライズ. (2006年2月7日). https://www.itmedia.co.jp/enterprise/articles/0602/07/news073.html 2015年6月1日閲覧。 
  3. ^ “ネットバンキングの不正送金事件、「偽ポップアップ」による巧妙な手口”. 日経トレンディネット. (2012年11月19日). http://trendy.nikkeibp.co.jp/article/pickup/20121116/1045603/?rt=nocnt 2012年12月1日閲覧。 
  4. ^ “spear phishing”. TechTarget. (2014年3月). http://searchsecurity.techtarget.com/definition/spear-phishing 2015年6月1日閲覧。 
  5. ^ “whaling”. TechTarget. (2014年2月). http://searchsecurity.techtarget.com/definition/whaling 2015年6月1日閲覧。 
  6. ^ “Phishing and Social Engineering Techniques”. INFOSEC INSTITUTE. http://resources.infosecinstitute.com/phishing-and-social-engineering-techniques/ 2015年6月1日閲覧。 
  7. ^ “Cybercrooks lurk in shadows of big-name websites”. The Register. (2007年12月12日). http://www.theregister.co.uk/2007/12/12/phishing_redirection/ 2015年6月1日閲覧。 
  8. ^ “フィッシング詐欺に新手法,本物のSSLサイトから偽サイトにリダイレクト”. ITpro. (2006年6月19日). https://xtech.nikkei.com/it/article/NEWS/20060619/241207/?ST=security 2015年6月1日閲覧。 
  9. ^ a b c d e Occupytheweb "Getting Started Becoming a Master Hacker v.1.3" Independently published 2019 pp.311-321
  10. ^ e-GOV 法令検索「平成十一年法律第百二十八号 不正アクセス行為の禁止等に関する法律」
  11. ^ a b c フィッシング対策-警察庁HP
  12. ^ “SmartScreen フィルター機能: FAQ”. Microsoft. http://windows.microsoft.com/ja-jp/internet-explorer/use-smartscreen-filter 2015年6月3日閲覧。 
  13. ^ “フィッシングや不正なソフトウェアに関するアラート”. Google Chrome ヘルプ. https://support.google.com/chrome/answer/99020?hl=ja 2015年6月3日閲覧。 
  14. ^ “偽装サイトとマルウェアからの防護機能の動作”. mozilla support. https://support.mozilla.org/ja/kb/how-does-phishing-and-malware-protection-work 2015年6月3日閲覧。 
  15. ^ “Opera's Fraud and Malware Protection”. Opera browser. http://www.opera.com/help/tutorials/security/fraud/ 2015年6月3日閲覧。 
  16. ^ “Safari 8 (Yosemite): 暗号化された Web サイトを識別して詐欺 Web サイトを避ける”. Apple. https://support.apple.com/kb/PH19218?viewlocale=ja_JP&locale=ja_JP 2015年6月3日閲覧。 
  17. ^ Kan, Michael (7 March 2019). “Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise”. PC Magazine. オリジナルの8 March 2019時点におけるアーカイブ。. https://web.archive.org/web/20190308035745/https://www.pcmag.com/news/367026/google-phishing-attacks-that-can-beat-two-factor-are-on-the 9 September 2019閲覧。 

関連項目

外部リンク